La firma de ciberseguridad Kaspersky ha descubierto una estafa singular dirigida a ladrones de criptomonedas. El esquema atrae a posibles oportunistas con monederos de criptomonedas aparentemente cargados, solo para desviar sus fondos cuando intentan acceder al cebo. Esta ingeniosa estrategia demuestra la creciente sofisticación de los ciberdelincuentes en el sector de los activos digitales.
Según Kaspersky, los principales estafadores se hacen pasar por usuarios ingenuos de criptomonedas al compartir frases semilla (las claves necesarias para acceder a las billeteras de criptomonedas) en comentarios de YouTube. Estos comentarios, publicados por cuentas nuevas, suelen incluir una solicitud de ayuda para transferir fondos desde una billetera que supuestamente contiene activos significativos.
“Los estafadores han inventado un nuevo truco… Publican frases semilla de monederos de criptomonedas en los comentarios de YouTube utilizando cuentas recién creadas”, detalló el analista de Kaspersky, Mikhail Sytnik, en una reciente publicación de blog.
No hay honor entre ladrones: cómo funciona la estafa de la clave privada
Una billetera observada por Kaspersky contenía aproximadamente $8,000 en USDT en la red Tron . Para acceder a estos fondos, un ladrón primero tendría que enviar TRX, el token nativo de la blockchain, para cubrir las comisiones de la red.
El esquema se aprovecha principalmente de individuos que buscan aprovecharse de los errores supuestamente "tontos" de otros. Una vez dentro de la billetera señuelo, estos ladrones digitales la encuentran llena de USDT, un token TRC20 vinculado al dólar estadounidense.
Como la billetera no tiene suficientes TRX para retirar, se les pide que envíen fondos desde sus propias billeteras. Esta acción activa el "sifón", desviando los TRX a la dirección del estafador.
Los estafadores han manipulado el sistema y, tan pronto como se envía el TRX, se redirige inmediatamente a una billetera separada controlada por los atacantes, dejando al ladrón con las manos vacías.
El análisis de Kaspersky comparó a los estafadores con Robin Hoods digitales, que atacaban a actores poco éticos en el mundo de las criptomonedas. Sin embargo, las víctimas finales siguen siendo quienes dejan que su codicia prevalezca sobre su cautela.
La compañía de seguridad insta a los usuarios de criptomonedas a tener cuidado con el uso repetido de frases semilladenten varios comentarios. Esto podría ser una operación bien planificada y coordinada para robar sus activos.
Campañas fraudulentas dirigidas a usuarios de criptomonedas
Los hallazgos de Kaspersky van más allá de las estafas con frases clave. En agosto, el Equipo de Respuesta a Emergencias Globales (GERT) de la compañíadentuna campaña de fraude más amplia dirigida a usuarios de Windows y macOS en todo el mundo.
Esta operación utiliza sitios web falsos y sofisticados para imitar servicios legítimos, como plataformas de criptomonedas, juegos de rol en línea y herramientas de inteligencia artificial. Estas sofisticadas imitaciones están diseñadas para engañar a las víctimas para que compartan información confidencial o descarguen malware.
“La correlación entre las diferentes partes de esta campaña y su infraestructura compartida sugiere una operación bien organizada, posiblemente vinculada a un solo actor o grupo con motivos financieros específicos”, afirmó Ayman Shaaban, jefe de respuesta adent en GERT de Kaspersky.
de Kaspersky, denominada "Tusk", reveló que la campaña incluye diversas suboperaciones dirigidas a temas relacionados con criptomonedas, videojuegos e inteligencia artificial. La infraestructura maliciosa también abarca otros 16 temas, ya sean subcampañas ya finalizadas o nuevas que aún no se han lanzado.
Las cadenas de código malicioso descubiertas durante la investigación mostraron comunicación entre los servidores de los atacantes en ruso, con referencias al término "Mammoth" ("Мамонт"), jerga que significa "víctima" entre los actores de amenazas de habla rusa. Esta pista lingüística contribuyó al nombre de la campaña.
La campaña Tusk emplea malware de robo de información como Danabot y Stealc, así como programas para interceptar el portapapeles, algunos de los cuales son variantes de código abierto escritas en Go. Los programas de robo de información extraentrac,dentdetalles de billeteras y otra información confidencial, mientras que los programas interceptan las direcciones de billeteras de criptomonedas copiadas al portapapeles y las reemplazan con maliciosas controladas por los atacantes.
